标题：季小杰:网络信任体系对互联网金融的意义
时间：2014年7月18日 (上午10:04)
分类：互联网金融, 改革·发展新征程, 清华金融评论杂志文章
标签：季小杰
作者：清华金融评论

文 | 中国金融认证中心总经理 季小杰 本文编辑 | 贾红宇 随着互联网金融的快速发展，互联网金融也面临着日益严峻的信息安全风险挑战。本文从网络信任体系建设、数据安全保护和电子凭证的应用三方面探讨了对互联网金融安全的理解。 我讲的话题是信息安全方面的问题。 首先，做一个自我介绍，中国金融认证中心（CFCA）成立于2000年，是由中国人民银行和国家信息安全管理机构批准的国家级的权威的安全认证机构，也是我国重要的金融基础设施，是电子认证行业的龙头企业，也是金融行业信息安全的代表性企业。中国电子银行网是由中国金融认证中心联合60家商业银行创建的电子银行类、垂直类的门户网站，也是目前互联网金融的第一大门户网站。 互联网金融区别于传统金融，具有服务方式的虚拟化、业务边界的模糊化、经营环境的开放化以及市场运行的透明化等特征，这些特征在互联网支付、人人贷（P2P）等业务形态中都有存在。随着互联网金融的快速发展，新技术、新业务形态的不断出现，互联网金融也面临着日益严峻的信息安全风险挑战。在2014年短短4个月时间内，就先后出现了“携程漏洞门”“二维码支付欺诈”等一系列信息安全风险事件。 根据国家互联网应急中心数据显示，2014年2月，境内感染网络病毒的终端数为220万余个，境内被篡改网站数量为12428个，信息系统安全漏洞为699个。安全事件的频现将互联网金融的信息安全风险推向了风口浪尖，如何有效防范此类风险事件成为业内广泛探讨的焦点。下面，我从网络信任体系建设、数据安全保护和电子凭证的应用三方面谈一下我对互联网金融安全的理解。 如果把互联网金融看成一座全新的现代化智能大厦，那么网络信任体系就是这座大厦的框架结构，数据安全保护就是这座大厦的根基，电子凭证的广泛应用就是这座大厦的现代化配套设施，三者缺一不可。 首先谈谈网络信任体系对互联网金融的重要意义。互联网金融与传统金融的最大区别是它的互联网属性，网络身份的确认、线上融资信用风险、假冒网站、交易欺诈等一系列问题，都是源于网络的虚拟化而带来的信任问题。我认为互联网金融的健康发展依赖于完善的网络身份认证体系和征信体系，而这两者正是构成网络信任体系的重要组成部分。 如何才能建立满足互联网金融发展的网络信任体系呢？ 一是可以基于银行领域成熟的网络身份认证体系进一步完善互联网金融认证体系。我国政府十分重视网络信任体系的建设，早在2006年就已经下发了《关于网络信任体系建设若干意见的通知》。经过多年来的不断努力，银行业以电子认证为主要手段，结合丰富的网点资源，已经在网上银行用户实名认证方面取得了显著成果。 具体操作上，我认为，一方面可以将这些资源延伸到新兴的互联网金融领域，对交易主体进行身份认证；另一方面可以进一步拓展电子认证服务的应用范围，电子认证方面的技术成熟、政策支持，将对身份认证体系的完善起到巨大的促进作用。 二是基于现有的银行业征信体系，整合资源建立全社会的征信体系。目前，尽管银行业的个人和企业征信体系已经建成，但在这以外，还有大量的征信信息散落在其他金融机构、互联网公司等。我们可以借鉴发达国家的先进经验设计全社会征信体系的总体架构，探索征信产业的发展模式，建立征信相关数据的共享机制，研究科学的信用评价指标，逐步形成全社会的征信体系。在这一过程中，金融机构和互联网企业应持开放的态度，促进资源共享。 接下来，我谈谈数据安全问题。海量的金融数据在存储和传输过程中，一旦发生泄漏、盗取或被非法添加和窜改等事件，都可能会使各方蒙受巨大损失，甚至可能影响国家金融经济体系的稳定。多年来，银行业主管部门十分重视信息安全的监管和指导，一些大型商业银行也在信息安全防护工作方面，投入了大量的资金和精力，积累了丰富的经验。很多互联网金融企业尚在发展初期，就不得不面对这些棘手的信息安全问题，尤其是数据安全问题。 数据安全在技术方面主要体现在三个方面，一是后台数据库安全。后台数据库安全要解决核心数据资源面临的“越权使用、权限滥用、权限盗用”等安全威胁；二是数据传输安全，数据传输安全可以通过结合数字证书等安全认证机制和传输加密机制来保障数据传输安全；三是数据容灾备份，备份是数据安全的一项基础安全防护措施。 数据安全不单纯是一个技术问题，我认为需要从如下几个方面做好工作：第一，充分借鉴银行业在信息安全管理方面的经验，针对业务模式的特点，参考或采用现有的互联网信息安全体系，例如计算机系统安全等级保护测评等，制定配套的管理规范、技术标准、技术手段，以此来提高互联网金融企业的数据安全管理水平。第二，信息安全服务机构是中坚力量。专业化的信息服务机构应该对互联网金融中的各类业务形态及其特征进行研究，提供适用于互联网金融的咨询测评等产品，形成专业的信息安全服务方案，满足互联网金融企业的信息安全需求。第三，互联网金融企业自身是关键环节。应该加强信息安全风险防范意识，完善风险管理体系，加强防御手段，定期对系统进行风险评估，在涉及关键业务环节采用自主可控的信息安全软硬件产品。 最后，谈谈互联网金融中可靠电子凭证的应用问题。传统的纸质凭证无法满足互联网金融的发展需要。以线上供应链融资为例，大量的合同、订单、仓单、提货单等各类凭证都需要实现电子化，在互联网支付、P2P等其他业态中同样有类似的需求，电子凭证发展滞后必将阻碍互联网金融的发展。 在目前的技术发展条件下，基于电子签名的方案是解决电子凭证有效性的有效途径。我国在2005年颁布了《电子签名法》，确立了电子签名的法律地位。之后相关主管部门还相继出台了一系列涉及管理、应用等方面的规范标准。这些法律规范为电子签名在互联网金融中的使用奠定了良好的法律基础。 所以，一是要大力推广可靠电子签名应用。目前，基于第三方电子认证服务的电子签名在网上银行中已有较成熟的运用，而我们要做的就是将电子签名进一步向供应链融资、网络微贷、P2P、众筹等其他业务形态中推广。其次，进一步规范电子签名应用规范。根据互联网金融各种业态的具体业务模式，研究制定电子签名应用规范，确保电子签名的可靠性。三是完善电子凭证司法鉴定体系。各种互联网金融业务形态都会产生频繁的网上交易活动，必然会出现交易纠纷。完善现有的电子凭证司法鉴定体系有助于保障各方的权益。 总之，互联网金融信息安全的风险控制并不是一个简单问题，它既需要国家层面的政策支持、引导，又需要金融机构、互联网企业、信息技术服务企业等参与主体的通力合作。我们只有保持对互联网金融信息安全隐患的高度敏感，时刻关注信息安全技术的发展，才能在信息安全管理中获得主动权。 CFCA作为金融领域信息安全的代表性企业，希望通过本次论坛和大家充分交流，共享经验，共同促进互联网金融的健康发展，谢谢大家。
上一篇：互联网金融夜话
下一篇：廖理:解析互联网银行直营银行（Direct Bank）